Hook NtCreateSection后如何判断进程和模块-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼真是小儿科的问题如果映像名后缀是.exe，那肯定是进程，否则就是模块如果写判断语句的话，真是再简单不过了 if 映像后缀名=="exe" { 进程的处理 } else { 模块的处理 } 2012-8-13 12:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 3 楼可以通过判断： IN ULONG SectionPageProtection , IN ULONG AllocationAttributes , 可执行模块是这样的： (AllocationAttributes == SEC_IMAGE) && (SectionPageProtection & PAGE_EXECUTE) 2012-8-13 13:40 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 4 楼感谢您的热心回答，可执行程序不一定都是exe，把cmd.exe改成cmd.cmd，再在开始菜单运行里运行也是可以的。 2012-8-13 13:59 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 5 楼感谢您的热心回答，我实际测试一下可行的话就采纳。 2012-8-13 14:21 0
baijianli 雪币： 260 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	baijianli 6 楼 pe文件中有dll标志，或者用堆栈回溯 2012-8-13 15:20 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 7 楼 exe也是可执行模块啊。照我说，在这个时候，其实没啥进程的概念，全是模块加载入进程。不好区分，要么是挫点像另一个朋友说的，检测PE头dll标志。另一个我觉得可行的方法是检测当前进程的模块有哪些，由于程序文件的模块是第一个加载的，所以如果当前进程空间没模块的话，那么这个就是楼猪你要的 2012-8-13 16:17 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 8 楼感谢您的热心回答，好像看到MJ大侠的某篇文章中也有堆栈回溯查找模块，太复杂了，我是菜鸟 2012-8-13 20:40 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 9 楼感谢您的热心回答，先试试看。 2012-8-13 20:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼真是小儿科的问题如果映像名后缀是.exe，那肯定是进程，否则就是模块如果写判断语句的话，真是再简单不过了 if 映像后缀名=="exe" { 进程的处理 } else { 模块的处理 } 2012-8-13 12:45 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 3 楼可以通过判断： IN ULONG SectionPageProtection , IN ULONG AllocationAttributes , 可执行模块是这样的： (AllocationAttributes == SEC_IMAGE) && (SectionPageProtection & PAGE_EXECUTE) 2012-8-13 13:40 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 4 楼感谢您的热心回答，可执行程序不一定都是exe，把cmd.exe改成cmd.cmd，再在开始菜单运行里运行也是可以的。 2012-8-13 13:59 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 5 楼感谢您的热心回答，我实际测试一下可行的话就采纳。 2012-8-13 14:21 0
baijianli 雪币： 260 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	baijianli 6 楼 pe文件中有dll标志，或者用堆栈回溯 2012-8-13 15:20 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 7 楼 exe也是可执行模块啊。照我说，在这个时候，其实没啥进程的概念，全是模块加载入进程。不好区分，要么是挫点像另一个朋友说的，检测PE头dll标志。另一个我觉得可行的方法是检测当前进程的模块有哪些，由于程序文件的模块是第一个加载的，所以如果当前进程空间没模块的话，那么这个就是楼猪你要的 2012-8-13 16:17 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 8 楼感谢您的热心回答，好像看到MJ大侠的某篇文章中也有堆栈回溯查找模块，太复杂了，我是菜鸟 2012-8-13 20:40 0
superlover 雪币： 10037 活跃值： (4046) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 1 关注私信	superlover 9 楼感谢您的热心回答，先试试看。 2012-8-13 20:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] Hook NtCreateSection后如何判断进程和模块 0.00雪花